Règlement général sur la protection des données personnelles : l’échéance se rapproche !
20 mars 2017Le Règlement général sur la protection des données (Règlement N°2016/679 dit « GDPR » pour « General Data Protection Regulation »), adopté le 27 avril 2016, témoigne d’une volonté très nette du législateur européen de renforcer le niveau de protection des données personnelles, via un accroissement significatif de la responsabilité des entreprises (publiques comme privées) collectrices et utilisatrices de ces données.
À compter du 25 mai 2018, il sera directement applicable, sans avoir à être transposé dans les droits nationaux de l’Union Européenne (UE).
Certaines de ses dispositions sont en réalité déjà effectives en droit positif français, depuis l’adoption de la Loi n°2016-1321 pour la République Numérique du 7 octobre 2016, qui est venue réformer en profondeur la Loi Informatique et Liberté du 6 janvier 1978.
Quelle que soit leur taille, ou leur secteur d’activité, les entreprises doivent s’approprier la nouvelle logique de responsabilisation posée par le GDPR en matière de traitement des données, qui est celle d’une mise en conformité autonome, en amont et tout au long de la vie des traitements, et par conséquent revoir sans délai leurs process pour être en mesure d’assumer, à très brève échéance, leurs nouvelles responsabilités.
1. Un champ d’application étendu
Le champ d’application territorial du GDPR intègre l’interprétation large retenue par la CJUE dans l’affaire « Google » ((C-131/12, 13 mai 2014) et s’applique « au traitement […] effectué dans le cadre des activités d’un établissement […] sur le territoire de l’Union, que le traitement ait lieu ou non dans l’Union », et ceci indépendamment de la nationalité ou du lieu de résidence de la personne concernée (article 3.1 et considérant 2).
Mais le législateur européen va plus loin encore, en précisant que le GDPR s’applique même si le « responsable du traitement ou [le] sous-traitant […] n’est pas établi dans l’Union, lorsque les activités de traitement sont liées : (a) à l’offre de biens ou de services [aux] personnes concernées dans l’Union, qu’un paiement soit exigé ou non desdites personnes ; ou (b) au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union » (article 3.2).
Concrètement, le GDPR trouvera à s’appliquer dès lors que le traitement de données (i) est rattaché à une activité exercée dans l’UE ou (ii) en cas d’offre de biens ou de services ou de suivi de comportements, que ce traitement vise des particuliers se trouvant dans l’UE.
Ce sera le cas pour les sites de e-commerce opérés par des sociétés établies en dehors de l’UE, mais accessibles et dédiés aux consommateurs européens. Ce sera encore le cas des traitements de données externalisés, tels que les traitements en « cloud computing », lorsque le serveur d’hébergement est délocalisé en dehors de l’UE, dès lors que ces traitements seront rattachés à une activité exercée dans ou vers l’UE.
Cette extension du champ d’application territorial appelle à une vigilance accrue. En effet, le fait pour les cocontractants de soumettre leurs relations contractuelles à une loi étrangère ne pourrait pas empêcher l’application des dispositions du GDPR qui tendent à protéger un droit fondamental (considérant 1) et devraient donc s’appliquer indépendamment de la loi du contrat.
A noter qu’en l’absence d’établissement dans l’UE, l’entreprise (responsable du traitement ou sous-traitant) devra désigner un représentant dans l’UE (article 27).
Le champ d’application matériel du GDPR reste inchangé: pour mémoire, il s’applique « au traitement de données à caractère personnel automatisé […] ainsi qu’au traitement non automatisé de données personnelles[…]contenues ou appelées à figurer dans un fichier » (article 2).
2. Des principes directeurs renforcés
Aux côtés des principes existants notamment de proportionnalité des données collectées par rapport à la finalité du traitement, de licéité et de loyauté du traitement, d’interdiction de principe du traitement des données sensibles, le GDPR consacre de nouveaux principes à respecter par les entreprises, qui auront un impact important sur leurs pratiques. Il s’agit des principes de :
2.1 Transparence qui exige que « toute information adressée au public ou à la personne concernée, soit concise, aisément accessible, facile à comprendre, formulée en des termes clairs et simples, [voire] illustrée à l’aide d’éléments visuels » (considérant 58).
Ainsi, il faudra fournir aux personnes dont les données sont collectées (utilisateurs du site Internet, salariés d’une entreprise, patients d’un hôpital, …) une information beaucoup plus complète, notamment sur (i) la nature des données collectées, (ii) l’identité du responsable du traitement et des éventuels destinataires (ou catégories de destinataires), (iii) la (ou les) finalité(s) des traitements et, si c’est le cas, (iv) le fait que les données seront transférées à l’étranger.
2.2 Minimisation des données traitées, selon lequel les données doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées » (article 5.1.c). Ce principe renforce l’obligation de proportionnalité et implique notamment de :
(i) limiter la durée de conservation des données au strict minimum au regard des finalités en cause,
(ii) d’anticiper les éventuels traitements ultérieurs et
(iii) d’appliquer une gestion « compartimentée » des données collectées et traitées.
En effet, au-delà de la finalité première de la collecte de données, bien souvent d’ordre commercial, l’entreprise pourra être amenée à traiter les données à d’autres fins, parfois lointaines et hypothétiques. Elles pourraient par exemple servir ensuite à l’entreprise aux fins de remplir ses obligations légales, notamment comptables (conservation de ses factures) ou encore, de manière plus lointaine, à constituer une preuve dans le cadre d’une action en justice.
Chaque type de données devra donc faire l’objet de mesures de protection proportionnées à son niveau de sensibilité. Le GDPR préconise le cryptage ou la pseudonymisation pour les données les plus sensibles, ce qui est déjà communément pratiqué pour les données patients issues de la recherche clinique. L’obligation générale et continue de sécurité des données, applicable tant aux responsables de traitements qu’à leurs sous-traitants, commande également de mettre en place « une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité de » ces mesures de sécurité (article 32.1.d).
3. Un encadrement écrit des relations entre les différents acteurs
Le rôle et les obligations de chaque acteur, qu’il s’agisse de partenaires contractuels ou d’entités appartenant à un même groupe, doivent être précisés par écrit. Or, en pratique, il n’est pas toujours aisé de distinguer entre responsable du traitement (celui qui « seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ») et sous-traitant (celui qui « traite [ces données] pour le compte du responsable du traitement »). D’ autant que ces rôles sont à déterminer traitement par traitement, et finalité par finalité.
Le GDPR prévoit à ce titre que la Commission et les autorités de contrôle nationales pourront publier des clauses contractuelles types afin de guider les entreprises dans l’élaboration de leurs contrats de sous-traitance (article 28) ; ces publications sont toujours attendues.
Reste que dans l’attente de ces lignes directrices, le responsable du traitement doit s’assurer que ses sous-traitants « présentent des garanties suffisantes » lui permettant de remplir ses obligations (article 28). Ceci implique concrètement :
(i) pour les sous-traitances à venir : de conclure par écrit avec chaque sous-traitant un contrat clair, détaillant les obligations de chacun ;
(ii) pour les sous-traitances actuelles qui ont vocation à s’appliquer au-delà du 25 mai 2018, d’auditer les pratiques et documents les encadrant, conclure un contrat écrit, ou, réviser les contrats préexistants si besoin.
Cet encadrement est important car il revient à chaque acteur, y compris le sous-traitant de démontrer qu’il a pris « toutes les mesures requises » aux fins d’assurer la sécurité des données (cette obligation relève donc de l’obligation de moyen renforcée). Dans la pratique, les entreprises responsables de traitements vont donc chercher à imposer à leurs prestataires la ratification de leurs « chartes de sécurité », relativement lourdes et contraignantes pour ces derniers, ce qui se traduira par une complexification des négociations précontractuelles, surtout avec les partenaires non européens.
4. Une responsabilisation accrue du responsable du traitement et du sous-traitant
4.1 Suppression de l’obligation de déclaration préalable
Le GDPR renverse la logique de la Directive 95/46/CE de notification a priori du traitement et passe à une logique d’anticipation et de responsabilisation des acteurs.
Les entreprises, déchargées de l’obligation de déclaration préalable de leurs traitements auprès des autorités de contrôle (en France, la CNIL), doivent désormais se familiariser avec la logique anglo-saxonne de « compliance » (conformité). Autrement dit, elles devront définir seules leur politique de protection des données, en conformité avec le GDPR, sans la soumettre au préalable à l’autorité de contrôle.
4.2 « Privacy by design » et « privacy by default »
Le GDPR fait émerger le concept novateur de « privacy by design » (traduit comme la « protection des données dès la conception »), selon lequel, la protection des données doit être anticipée et appréhendée globalement « tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même » (article 25.1).
Il consacre également la pratique du « privacy by default » (ou « protection des données par défaut »), en lien direct avec les principes de proportionnalité et de minimisation des données, selon laquelle il faut « garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité́ spécifique du traitement sont traitées » (article 25.2).
4.3 Audit général préalable au traitement et analyse d’impact
En application des principes de limitation, de minimisation et de sécurité des traitements, le responsable du traitement devra avant tout traitement :
(i) bien définir ses objectifs,
(ii) cibler les données pertinentes à traiter,
(iii) prévoir les modes de traitement lui permettant de réaliser son projet, tout en
(iv) évaluant les risques qu’ils comportent, pour
(v) envisager les mesures de protection adéquates à mettre en œuvre.
Puis, si cet audit préalable révèle que le traitement envisagé risque d’engendrer un risque élevé́ pour les droits et libertés des personnes, en particulier en cas de « recours à de nouvelles technologies », l’entreprise devra en outre effectuer une analyse d’impact des traitements envisagés sur la protection des données personnelles (article 35). Si l’analyse aboutit à la conclusion d’un risque élevé, l’entreprise devra consulter la CNIL.
4.4 La tenue d’un registre des activités de traitement
Les responsables du traitement et sous-traitants doivent tenir des registres des activités de leurs traitements. Cette obligation ne s’applique pas aux entités de moins de 250 salariés, sauf si le traitement (i) est susceptible de comporter un risque pour les droits et libertés des personnes concernées, (ii) s’il n’est pas occasionnel ou (iii) s’il concerne des données sensibles.
Les informations à mentionner dans ces registres sont précisées dans le GDPR, notamment le nom et les coordonnées du responsable du traitement, les finalités du traitement, les catégories de personnes concernées ou les catégories de données traitées, les catégories de destinataires des données … (article 30). En revanche, leurs modalités d’élaboration pourraient être davantage détaillées. Or, en pratique, cette obligation de documentation est très importante, notamment au regard de la consécration du nouveau droit à la portabilité reconnu aux particuliers consistant à récupérer auprès du responsable du traitement leurs données dans un format lisible en vue de les transmettre à un autre responsable du traitement (article 20).
Ces registres pourront être contrôlés par la CNIL. Compte tenu de l’importance de cette obligation, les entreprises pourraient soumettre leurs interrogations sur les modalités d’élaboration de ces registres à la CNIL qui les invite régulièrement à faire part de leurs difficultés par l’intermédiaire de consultations (voir notamment la consultation ouverte jusqu’au 24 mars 2017).
4.5 La désignation d’un Délégué à la protection des données
Trois types d’entreprises auront l’obligation de nommer un Délégué à la protection des données (article 38) :
(i) les entreprises du secteur public,
(ii) celles dont les activités principales portent sur le suivi régulier et systématique des personnes à grande échelle,
(iii) celles dont les activités principales consistent à traiter, à grande échelle également, des données sensibles.
Le Délégué à la protection des données devra conseiller et superviser l’entreprise dans sa politique de protection des données, et assurer le contact avec les personnes dont les données sont traitées et les autorités de contrôle.
4.6 Les transferts de données hors UE
Les transferts des données hors UE ne sont possibles qu’à la condition que le pays tiers présente un niveau de sécurité équivalent. En pratique, la Commission adopte des décisions d’adéquation. A défaut, le responsable du traitement doit prévoir des garanties suffisantes (autrement dit, imposer à son cocontractant étranger des clauses contractuelles types ou, pour les groupes de sociétés, adopter des règles d’entreprise contraignantes) et vérifier que les personnes dont les données sont transférées disposent de droits opposables et de recours effectifs.
5. Des sanctions plus lourdes
Le GDPR fait peser une forte pression pécuniaire sur les entreprises pour encourager leur rapide mise en conformité avec la nouvelle réglementation.
Ainsi, d’une part, les amendes administratives qui pourront être ordonnées par les autorités de contrôle telles que la CNIL se voient sensiblement alourdies. En effet, en application de la Directive 95/46/CE qui invitait les Etats membres à adopter des sanctions appropriées, le droit français plafonnait, jusque récemment, les amendes administratives à 150.000 euros. Avec le GDPR, les amendes pourront désormais atteindre, selon les dispositions violées :
(i) 10 à 20 millions d’euros pour les responsables du traitement n’ayant pas la personnalité morale
(ii) 2 à 4% du chiffre d’affaires mondial pour les personnes morales.
Le montant le plus élevé étant retenu (article 83).
En France, la Loi pour une République Numérique a anticipé cet objectif de dissuasion en plafonnant le montant de la sanction à 3 millions d’euros (nouvel article 47 de la loi Informatique et Libertés). A défaut d’être révisé, ce plafond deviendra obsolète à compter de l’application du GDPR.
D’autre part, et c’est une évolution importante, toute personne ayant subi un dommage matériel ou moral du fait d’une violation du GDPR pourra désormais obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi en saisissant les « juridictions compétentes en vertu du droit de l’État membre » concerné (article 82).
*
A quelques mois seulement de l’application effective du GDPR, les entreprises seront donc bien avisées de vérifier qu’elles disposent de tous les outils, techniques, organisationnels et opérationnels, qui leur permettront d’entrer sans risque dans cette nouvelle logique de responsabilisation et de documentation, car qui dit nouvelles obligations pour les responsables du traitement, dit nouveaux droits pour ceux dont les données sont traitées !
Il ne vous reste plus qu’à :
1. Vérifier si vos activités de traitement sont soumises aux dispositions du GDPR
2. Auditer votre politique actuelle de protection des données
3. Encadrer par écrit les relations avec vos partenaires commerciaux et/ou les entreprises du groupe
4. Désigner si nécessaire un Délégué à la protection des données
5. Mettre en place si besoin un registre de traitements des données
